暗藏玄机,AsyncRat通过svg多阶段钓鱼分析
字数 2120 2025-08-29 22:41:32

AsyncRat多阶段钓鱼攻击分析与防御指南

一、攻击概述

本次攻击是一个典型的多阶段钓鱼攻击链,攻击者通过精心设计的SVG文件作为初始入口,最终投放AsyncRat远程访问木马。攻击流程涉及多种技术手段,包括社会工程学、代码混淆、多阶段载荷投放和进程注入等技术。

二、攻击链分析

1. 初始阶段:钓鱼SVG文件

特征:

  • 伪装成"哥伦比亚共和国司法部门"的紧急传票通知
  • 声称包含PDF文档,诱导用户点击
  • 实际上点击任意位置都会触发恶意下载

技术细节:

  • SVG文件中嵌入JavaScript代码
  • 点击事件绑定到整个文档而非特定按钮
  • 从Discord服务器下载恶意JScript文件(Documentos_xxxxx.js)

2. 第二阶段:JScript载荷

文件特征:

  • 使用.js扩展名,但实际是Windows JScript脚本
  • 包含大量垃圾代码混淆分析
  • 核心代码经过字符串操作隐藏

执行流程:

  1. 文件被wscript.exe解释执行
  2. 解码隐藏的PowerShell命令
  3. 执行PowerShell下一阶段载荷

3. 第三阶段:PowerShell载荷

功能分析:

  • 从archive.org服务器下载new_image.jpg
  • 解析图片尾部附加的Base64编码.NET程序
  • 反射加载并执行恶意.NET DLL

规避技术:

  • 使用合法网站(archive.org)托管恶意载荷
  • 图片隐写技术隐藏实际载荷
  • 内存加载避免文件落地

4. 第四阶段:.NET DLL分析

伪装技术:

  • 基于开源项目dnlib添加恶意代码
  • 使用白程序代码逃避机器学习检测

核心功能:

  • 字符串动态解密(Class237.smethod_0)
  • 资源文件(hIXS)存储加密字符串
  • 动态创建.NET模块和静态函数

恶意行为:

  • 虚拟机检测功能
  • 通过计划任务持久化
  • 注册表自启动(Run键)
  • 反射加载UAC.dll进行权限绕过
  • 使用cmstp技术实现UAC绕过

5. 最终阶段:AsyncRat木马

注入技术:

  • 从Discord下载ConvertedFile.txt
  • 解码提取PE文件
  • 根据PE头Magic字段选择注入方式:
    • 32位程序(IMAGE_NT_OPTIONAL_HDR32_MAGIC/267):特定注入技术
    • 64位程序(IMAGE_NT_OPTIONAL_HDR64_MAGIC/523):不同注入技术
  • 使用MSBuild.exe作为傀儡进程

持久化机制:

  1. 复制Documentos_xxxxx.js到C:\Users\Public\Downloads\fluctuous.js
  2. 添加注册表自启动项
  3. 下载并注入最终载荷

三、技术亮点分析

1. 多阶段载荷投放

  • 使用多个合法平台(Discord, archive.org)托管不同阶段载荷
  • 每阶段使用不同技术(VBScript→PowerShell→.NET→Native)

2. 规避技术

  • 代码混淆与字符串加密
  • 内存反射加载避免文件落地
  • 使用白名单程序代码(dnlib)掩盖恶意行为
  • 图片隐写隐藏实际载荷

3. 权限维持

  • 多重持久化机制(计划任务+注册表)
  • UAC绕过技术确保高权限执行

4. 进程注入

  • 根据目标架构自动选择注入技术
  • 使用可信进程(MSBuild.exe)作为傀儡

四、防御建议

1. 用户教育

  • 警惕不明来源的"官方通知"邮件
  • 勿点击邮件中的下载链接或按钮
  • 对.js、.vbs等脚本文件保持警惕

2. 技术防护

  • 禁用Windows Script Host(WSH)执行JScript/VBScript
  • 限制PowerShell执行策略
  • 监控异常进程行为(如MSBuild.exe网络连接)
  • 阻断对Discord附件等非业务必要域名的访问

3. 检测规则

  • 检测多阶段下载行为(SVG→JS→PS1→DLL)
  • 监控反射加载.NET程序集行为
  • 检测图片文件尾部附加Base64数据

4. 企业防护

  • 实施邮件附件过滤策略
  • 部署端点检测与响应(EDR)解决方案
  • 限制普通用户权限,防止持久化

五、IOC(入侵指标)

  1. 文件相关:

    • Documentos_xxxxx.js
    • new_image.jpg(含恶意载荷)
    • fluctuous.js(持久化副本)
    • UAC.dll(UAC绕过组件)

  2. 路径相关:

    • C:\Users\Public\Downloads\fluctuous.js
    • 注册表路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  3. 网络相关:

    • Discord附件URL:https://cdn.discordapp.com/attachments/xxxx/xxxx/ConvertedFile.txt
    • archive.org托管的new_image.jpg

六、总结

本次攻击展示了现代恶意软件攻击的复杂性和规避技术的多样性。攻击者通过精心设计的多阶段攻击链,结合社会工程学和多种技术手段,成功实现了从初始入侵到最终载荷投放的全过程。防御此类攻击需要多层次的安全防护和持续的用户安全意识教育。

AsyncRat多阶段钓鱼攻击分析与防御指南 一、攻击概述 本次攻击是一个典型的多阶段钓鱼攻击链,攻击者通过精心设计的SVG文件作为初始入口,最终投放AsyncRat远程访问木马。攻击流程涉及多种技术手段,包括社会工程学、代码混淆、多阶段载荷投放和进程注入等技术。 二、攻击链分析 1. 初始阶段:钓鱼SVG文件 特征: 伪装成"哥伦比亚共和国司法部门"的紧急传票通知 声称包含PDF文档,诱导用户点击 实际上点击任意位置都会触发恶意下载 技术细节: SVG文件中嵌入JavaScript代码 点击事件绑定到整个文档而非特定按钮 从Discord服务器下载恶意JScript文件(Documentos_ xxxxx.js) 2. 第二阶段:JScript载荷 文件特征: 使用.js扩展名,但实际是Windows JScript脚本 包含大量垃圾代码混淆分析 核心代码经过字符串操作隐藏 执行流程: 文件被wscript.exe解释执行 解码隐藏的PowerShell命令 执行PowerShell下一阶段载荷 3. 第三阶段:PowerShell载荷 功能分析: 从archive.org服务器下载new_ image.jpg 解析图片尾部附加的Base64编码.NET程序 反射加载并执行恶意.NET DLL 规避技术: 使用合法网站(archive.org)托管恶意载荷 图片隐写技术隐藏实际载荷 内存加载避免文件落地 4. 第四阶段:.NET DLL分析 伪装技术: 基于开源项目dnlib添加恶意代码 使用白程序代码逃避机器学习检测 核心功能: 字符串动态解密(Class237.smethod_ 0) 资源文件(hIXS)存储加密字符串 动态创建.NET模块和静态函数 恶意行为: 虚拟机检测功能 通过计划任务持久化 注册表自启动(Run键) 反射加载UAC.dll进行权限绕过 使用cmstp技术实现UAC绕过 5. 最终阶段:AsyncRat木马 注入技术: 从Discord下载ConvertedFile.txt 解码提取PE文件 根据PE头Magic字段选择注入方式: 32位程序(IMAGE_ NT_ OPTIONAL_ HDR32_ MAGIC/267):特定注入技术 64位程序(IMAGE_ NT_ OPTIONAL_ HDR64_ MAGIC/523):不同注入技术 使用MSBuild.exe作为傀儡进程 持久化机制: 复制Documentos_ xxxxx.js到C:\Users\Public\Downloads\fluctuous.js 添加注册表自启动项 下载并注入最终载荷 三、技术亮点分析 1. 多阶段载荷投放 使用多个合法平台(Discord, archive.org)托管不同阶段载荷 每阶段使用不同技术(VBScript→PowerShell→.NET→Native) 2. 规避技术 代码混淆与字符串加密 内存反射加载避免文件落地 使用白名单程序代码(dnlib)掩盖恶意行为 图片隐写隐藏实际载荷 3. 权限维持 多重持久化机制(计划任务+注册表) UAC绕过技术确保高权限执行 4. 进程注入 根据目标架构自动选择注入技术 使用可信进程(MSBuild.exe)作为傀儡 四、防御建议 1. 用户教育 警惕不明来源的"官方通知"邮件 勿点击邮件中的下载链接或按钮 对.js、.vbs等脚本文件保持警惕 2. 技术防护 禁用Windows Script Host(WSH)执行JScript/VBScript 限制PowerShell执行策略 监控异常进程行为(如MSBuild.exe网络连接) 阻断对Discord附件等非业务必要域名的访问 3. 检测规则 检测多阶段下载行为(SVG→JS→PS1→DLL) 监控反射加载.NET程序集行为 检测图片文件尾部附加Base64数据 4. 企业防护 实施邮件附件过滤策略 部署端点检测与响应(EDR)解决方案 限制普通用户权限,防止持久化 五、IOC(入侵指标) 文件相关: Documentos_ xxxxx.js new_ image.jpg(含恶意载荷) fluctuous.js(持久化副本) UAC.dll(UAC绕过组件) 路径相关: C:\Users\Public\Downloads\fluctuous.js 注册表路径:HKEY_ CURRENT_ USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 网络相关: Discord附件URL:https://cdn.discordapp.com/attachments/xxxx/xxxx/ConvertedFile.txt archive.org托管的new_ image.jpg 六、总结 本次攻击展示了现代恶意软件攻击的复杂性和规避技术的多样性。攻击者通过精心设计的多阶段攻击链,结合社会工程学和多种技术手段,成功实现了从初始入侵到最终载荷投放的全过程。防御此类攻击需要多层次的安全防护和持续的用户安全意识教育。